Usable Security and Privacy Challenges with Disruptive Technologies
Total Page:16
File Type:pdf, Size:1020Kb
Die approbierte Originalversion dieser Dissertation ist in der Hauptbibliothek der Technischen Universität Wien aufgestellt und zugänglich. http://www.ub.tuwien.ac.at The approved original version of this thesis is available at the main library of the Vienna University of Technology. http://www.ub.tuwien.ac.at/eng Usable Security and Privacy Challenges with Disruptive Technologies DISSERTATION zur Erlangung des akademischen Grades Doktorin der Technischen Wissenschaften eingereicht von Dipl.-Ing. Katharina Krombholz-Reindl, BSc. Matrikelnummer 0508215 an der Fakultät für Informatik der Technischen Universität Wien Betreuung: Privatdoz. Dipl.-Ing. Mag.rer.soc.oec. Dr.techn. Edgar Weippl Diese Dissertation haben begutachtet: Peter Purgathofer Stefanie Rinderle-Ma Wien, 25. August 2016 Katharina Krombholz-Reindl Technische Universität Wien A-1040 Wien Karlsplatz 13 Tel. +43-1-58801-0 www.tuwien.ac.at Usable Security and Privacy Challenges with Disruptive Technologies DISSERTATION submitted in partial fulfillment of the requirements for the degree of Doktorin der Technischen Wissenschaften by Dipl.-Ing. Katharina Krombholz-Reindl, BSc. Registration Number 0508215 to the Faculty of Informatics at the TU Wien Advisor: Privatdoz. Dipl.-Ing. Mag.rer.soc.oec. Dr.techn. Edgar Weippl The dissertation has been reviewed by: Peter Purgathofer Stefanie Rinderle-Ma Vienna, 25th August, 2016 Katharina Krombholz-Reindl Technische Universität Wien A-1040 Wien Karlsplatz 13 Tel. +43-1-58801-0 www.tuwien.ac.at Erklärung zur Verfassung der Arbeit Dipl.-Ing. Katharina Krombholz-Reindl, BSc. Obere Amtshausgasse 38/13, 1050 Wien Hiermit erkläre ich, dass ich diese Arbeit selbständig verfasst habe, dass ich die verwen- deten Quellen und Hilfsmittel vollständig angegeben habe und dass ich die Stellen der Arbeit – einschließlich Tabellen, Karten und Abbildungen –, die anderen Werken oder dem Internet im Wortlaut oder dem Sinn nach entnommen sind, auf jeden Fall unter Angabe der Quelle als Entlehnung kenntlich gemacht habe. Wien, 25. August 2016 Katharina Krombholz-Reindl v Acknowledgements I am gratefully indebted to my advisor Edgar Weippl for making this thesis possible. The door to Edgar’s office was always open to discuss my research and he allowed me the freedom to pursue my own research ideas and projects. I would also like to thank SBA Research for providing me a great environment to develop, discuss and publish my work. I am deeply grateful to my fellows at SBA for all the insightful discussions, fruitful collaborations and especially the fun we had throughout the recent years. In particular, I would like to thank Adrian Dabrowski, Martin Schmiedecker, Martina Lindorfer, Wilfried Mayer and Aljosha Judmayer. I highly value the relaxed but productive work environment, the unconditional support we provided each other and last but not least our friendship. During my studies, I had the distinct pleasure to collaborate with great researchers from other institutions. My sincere thanks go to Thorsten Holz who provided me the opportunity to spend some time at Ruhr-University Bochum to collaborate with his group. I very much enjoyed working with Thorsten and his group and it was a great learning experience. Furthermore I am deeply grateful to Matthew Smith from the University of Bonn for his support and the valuable feedback I received whenever I needed it. Matthew’s support especially helped me to gain confidence in my own ideas. Furthermore, I would like to thank Peter Purgathofer for his inspiring lectures that I have enjoyed since I started my bachelor studies. I highly appreciate discussing my ideas with him in the course of lectures and also beyond. I am also grateful to Dieter Merkl who supervised my master thesis and then encouraged me to start a PhD. Without Dieter’s support I would probably not have considered starting a PhD. I must express my very profound gratitude to my family and partner, in particular my parents Irene Krombholz and Martin Krombholz, my brothers Philipp and Thomas and my sister Barbara for providing me with love, unfailing support and continuous encouragement. I am also deeply thankful to my partner Andreas Hubmer for his love and support and the great time we had since we met each other in one of the first computer science lectures of our bachelor studies. Without the constant support from my beloved ones throughout my life this thesis would not have been possible. My thanks also go to all my friends for their patience and moral support in recent years, in particular Bine, Caro, Andi K., Anka, Karin, Lända, Gergö, Verena, Chrizzy and Julia. vii Kurzfassung “Security is only as good as its weakest link, and people are the weakest link in the chain.” (Bruce Schneier) Im täglichen Leben interagieren BenutzerInnen mit einer Vielzahl von technischen Gerä- ten, welche kontinuierlich Daten über ihre BenutzerInnen sowie deren Umgebung sammeln und dann über das Internet übertragen. Im digitalen Zeitalter werden neue Technologien schnell in den Alltag integriert, was dazu führt, dass eine immer größere Anzahl an Geräten online ist und Daten austauscht. Dieses neue Paradigma impliziert jedoch neue Herausforderungen, da die BenutzerInnen mit immer komplexeren Informationsverarbei- tungskonzepten konfrontiert werden. Auch die Forschung beschäftigt sich seit einigen Jahren mit diesem Aspekt der Informationssicherheit. EndanwenderInnen empfinden die Nutzung von Sicherheitssystemen häufig als schwierig, da diese oftmals nicht unter der Berücksichtigung der Ansprüche von EndanwenderInnen gestaltet wurden. Daher sind diese Systeme anfällig für Angriffe von außen. Ausserdem besteht das Risiko, dass EndanwenderInnen unwissentlich sensible Daten mit Dritten teilen. Aus diesen Gründen ist eine Integration von Aspekten der Mensch-Maschine Interaktion in die Sicherheitsforschung notwendig. Der interdisziplinäre Forschungsbereich, der sich mit dieser Thematik beschäftigt, wird Usable Security genannt. Das übergeordnete Ziel dieser Arbeit ist es einen Beitrag zur besseren Benutzbarkeit von Sicherheitssystemen zu leisten. Dies geschieht zum einen mittels Benutzerstudien um die Interaktionen der Menschen mit dem System besser zu verstehen und zum anderen um mittels neuer Designkonzepte den Ansprüchen der Nutzer besser gerecht zu werden. Im Rahmen dieser Arbeit haben wir uns mit unterschiedlichen Herausforderung im Bereich der Usable Security auseinandergesetzt. Zuerst haben wir Social Engineering Angriffe systematisiert und mittels Machine Learning Onlineplattformen als Untergrundmärkte, auf denen gestohlene Daten gehandelt werden, klassifiziert. Anschließend haben wir Phishingattacken über QR Codes untersucht, sowie benutzerzentrierte Gegenmaßnahmen entwickelt und evaluiert. Des Weiteren haben wir explorativ Designansätze zum Schutz der Privatsphäre gegenüber in Wearables eingebauten Kameras im öffentlichen Raum erforscht. Mittels qualitativer Interviews konnten wir nutzerfreundliche Formfaktoren für ein Tool zur Mediation zwischen dem Träger eines Wearables und zufällig fotografierten Personen in ix der Umgebung identifizieren. Unsere Ergebnisse zeigen, dass ein eigens dafür konzipiertes Gerät, welches mit Tasten einfach bedienbar ist, dafür am besten geeignet wäre. Um die Datensicherheit auf Smartphones zu verbessern haben wir ein drucksensibles Verfahren namens Force-PINs zur Benutzerauthentifizierung entwickelt und im Rahmen zweier Benutzerstudien gezeigt, dass dieses Verfahren mit nur minimaler Verschlechterung der Benutzbarkeit einhergeht und sicherere PINs ermöglicht. Darüber hinaus haben wir zwei große Benutzerstudien zu Kryptographischen Anwendungen durchgeführt. Zuerst haben wir uns der Kryptowährung Bitcoin gewidmet und eine großangelegte Onlinebefragung mit 990 Bitcoin BenutzerInnen durchgeführt, um Herausforderungen bezüglich Sicherheit und Privatsphäre aus Nutzersicht zu erforschen. Unsere Ergebnisse zeigen, dass selbst technikaffine BenutzerInnen Schwierigkeiten beim Schutz ihres digitalen Vermögens haben. Des weiteren haben wir eine Nutzerstudie mit gut ausgebildeten TeilnehmerInnen durchgeführt um Herausforderung bei der Umsetzung von HTTPS zum Schutz von Webseiten aus Nutzerperspektive zu erforschen. Unsere Ergebnisse zeigen, dass viele schlechte Konfigurationen durch missverständliche Benutzerschnittstellen während des Deployment Prozesses entstehen. Die Ergebnisse unserer Forschung in verschiedenen Anwendungsfeldern haben zukünftige Herausforderungen und Fragestellungen ans Licht gebracht. Des Weiteren konnten wir benutzerzentrierte Designs für eine bessere Benutzerbarkeit von Sicherheitsmechanismen entwickeln und den Mehrwehrt im Rahmen von Nutzerstudien zeigen. Abstract “Security is only as good as its weakest link, and people are the weakest link in the chain.” (Bruce Schneier) In the current age, disruptive technologies are proliferating rapidly and a plethora of devices is interconnected and exchanges data. This always-online paradigm poses significant challenges to their users as the underlying information-sharing models are difficult to understand. Hence, managing security and privacy has become increasingly complex for users. This complexity is more and more acknowledged and research has started to address human aspects of information security. End-users often struggle with security systems that are too difficult to use and not designed to fulfil the users’ needs. As a result, they are susceptible to a variety of attacks or accidentally disclose sensitive information without being aware of it. This highlights the need for an integration